Wo kann man Sicherheitslücken im Firefox melden

    Dankeschön... :P
    Ich lese dort, dass das alleinige Melden eher nicht belohnt wird...
    Als "normaler" Nutzer ist man vermutlich mit den Voraussetzungen (Proof of Concept, Test-Case, etc. etc.) überfordert...

    Selbstverständlich ist der gemeine Anwender damit weit überfordert.

    Die Sicherheit ist ein sensitiver Teil des Fx. Das entsprechende Team hat dafür seine speziellen Prüfroutinen entwickelt. Darum ist ja auch die Nennung des "Proof of Concept" wichtig, denn wenn wirklich eine Sicherheitslücke existiert, haben die eigenen Prüfroutinen versagt und eine neuerliche Anwendung selbiger ist sinnlos. Liegt hingegen ein "Proof of Concept" des Melders vor, kann man die Problematik sofort nachvollziehen und auch die Prüfroutinen entsprechend anpassen.

    Der "Test-Case" hingegen ist eine normale Anforderung von Bugzilla, denn die dortigen Tester möchten bei ihrer beschränkten Zeit auch nicht im Nebel stochern.

    auch wenn ich mich damit der Häme einiger aussetze...

    Für Bugzilla reicht meine Zeit und meine Englischkenntnisse nicht.
    Vielleicht ist es gar kein Bug sondern nur meine fehlende Kompetenz !? !

    Hier meine Beobachtungen...

    Rechner 1

    Firefox im aktuellen Patchstatus
    Master PW eingerichtet.
    diverse PW inkl. Benutzer gespeichert
    auf diesem Rechner bekommt man die gespeicherten und vermeintlich über das MasterPW verschlüsselten Passwörter nur noch im Klartext zu lesen wenn man in den Einstellungen unter "gespeicherte Passwörter" das MasterPW eingibt.

    Rechner 2

    selber Firefox
    über Sync mit Rechner 1 abgelichen ohne vorher (und das ist wichtig und aus meiner Sicht der Knackpunkt) hier ein Masterpasswort einzurichten.
    An diesem Rechner kann man die gespeicherten Passwörter im Klartext lesen.
    Das führt nach meinem Verständnis zu der Schlussfolgerung, dass die Passwörter entweder nicht wirklich verschlüsselt sind und oder nicht verschlüsselt (zum Rechner2) übertragen werden.

    Und das ist aus meiner Sicht eine Sicherheitslücke.
    Konsequent wäre es aus meiner Sicht entweder das MasterPW mit zu syncen oder gespeicherter Passwörter nicht mit abzugleichen...

    Habe ich einen Denkfehler oder liege ich richtig?

    Der Baumverfehler

    Die Passwörter liegen auf Rechner 1 verschlüsselt.

    Damit die Passwörter von Rechner 1 gesynct werden können, musst du dort das Masterpasswort eingeben. Das passiert vermutlich schon beim Start von Firefox?

    Beim Sync-Vorgang werden die durch das Masterpasswort entschlüsselten Passwörter neu verschlüsselt (diesmal mit dem Sync Schlüssel), und dann mit dem ganzen anderen Kram an den Sync Server übertragen.

    Die Sync Daten (inkl. den Passwörtern) liegen nun verschlüsselt auf dem Sync Server.

    Vom Sync Server kommen nun die mit dem Sync Schlüssel verschlüsselten Sync Daten auf Rechner 2. und werden dort mit dem Sync Schlüssel entschlüsselt.

    Hier liegen sie nun unverschlüsselt vor.

    Und da du dort kein Masterpasswort gesetzt hast bleiben sie das auch.
    Das ist in der Tat eigentlich nicht sehr Sinnvoll, entspricht aber deinen Einstellungen.

    Auf jeden Fall erfolgt die Übertragung verschlüsselt.

    Die Frage ob in einem solchen Fall automatisch auf Rechner 2 das Masterpasswort aktiviert werden sollte, kann man sich meiner Meinung nach schon stellen. Hier gibt aber bestimmt pro und contra Punkte.

    Das Pro kann ich mir ausmalen, für das Contra fällt mir nix ein.

    Das Sync ist doch dafür gedacht, dass man im Firefox an allen Profilen die gleichen Einstellungen hat. Konsequenterweise lassen sich sogar inzwischen Addins mitsyncen. Es wäre zumindest wünschenswert wenn nach dem Sync automatisiert die Aufforderung zum Anlegen eines Masterpasswortes aufgefordert wird.

    Vielen Dank für die Antwort.

    Der Baumverfehler